文章总结： 文章推荐了小程序渗透测试插件jaysenwxapkg用于解密源码及接口分析。重点对比了AI代码审计工具CodeBuddy与Trae，认为前者在漏洞发现数量及报告质量上更优。文末还介绍了CodeBuddy的使用推广活动，提供免费腾讯云服务器福利。 综合评分： 70 文章分类： 渗透测试,代码审计,安全工具,AI安全,移动安全

小程序渗透测试工具分享及AI代码审计工具推荐

原创

SharkJ0001 SharkJ0001

Neon-X Sec

2026年2月3日 14:42 河北

本期内容分为三个板块，涉及到小程序渗透测试工具推荐、CodeBuddy推荐、免费领取三个月腾讯云服务器，文末获取所有推荐内容

1.小程序渗透测试工具推荐——jaysenwxapkg

该工具为burp内的插件，能够对小程序进行解密，获取本地缓存的小程序的源码，能够更好的进行接口的分析，解密后能够根据自带（支持自定义）的规则进行匹配提取敏感信息，规则可以看看key神的HAE规则后对这个进行补充。

点击打开文件浏览器即可直接查看解密后的源码内容

目前电脑端的微信版本是4.1.7.30小程序缓存的地址又变了，文末获取小程序本地存储位置的路径及方法还有插件

2.CodeBuddy推荐

这里之所以推荐这个，正是因为上述的小程序已经解密完成，那么接下来做的肯定是小程序的的代码审计，如果采用人工审计核查的方式固然可以，但是效率极低，那么这时候就可以用CodeBuddy

在我看来这个就是对标Trae的产品，根据使当前用情况来看Buddy优势很大，至少在代码审计的方面是这样的，接下来对比同样的话术下给两个平台展示他们给出的结果。

首先是使用Buddy生成了9个新的文件，展示的漏洞效果明显，视觉效果更好，不仅仅在报告中生成了请求包，还根据漏洞点生成了可以验证漏洞的python脚本，但是这也有一个缺点就是其中有一个模型情况下不支持上传图片。

漏洞方面条理清晰，方便验证复现使用

接下来是Trae，总计就发现了三个漏洞，总结报告车轱辘话太多，重点关注的项目变成了审计范围

展示的请求包host用example替代

至于这两个能够验证漏洞的准确性，目前暂未验证，后续使用时间长了再分享吧，至于这次的对比更倾向于使用Buddy

话术：该项目为微信小程序本地解密后结果现在需要你对其进行代码审计，发现漏洞及风险点，找出所有的接口点及访问地址，重点关注信息泄露、未授权访问、逻辑漏洞、SQL注入、文件上传、命令执行等等，根据发现的漏洞编写代码审计报告，并且每个漏洞要有对应复现的请求包

3.免费领取腾讯云服务器

该活动还是与 CodeBuddy 相关，活动期间推广该程序，累计使用 7 日即可获得 3 个月腾讯云服务器，配置虽不高，但用于测试、弹 Shell 完全够用。若仅注册使用而非累计 7 日，仅赠送 1 个月使用时长。

CodeBuddy下载链接：

https://www.codebuddy.cn/promotion/?ref=c7n03yin9b3y28q

jaysenwxapkg下载链接

https://github.com/Jaysen13/jaysenwxapkg?tab=readme-ov-file

后台回复0203获取文章中提及的所有内容

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Neon-X Sec SharkJ0001 SharkJ0001《小程序渗透测试工具分享及AI代码审计工具推荐》